何年もの経験により、セキュリティ上の问题を引き起こすソフトウェアの不具合の约半分は、设计上の欠陥であることがわかりました。コードにセキュリティ上のバグがないかソフトウェアのテストを行ったり、アプリケーションのペネトレーション?テストを行うだけでは、攻撃に対する组织の脆弱性が解消されないまま、问题の约半数が见过ごされています。
アーキテクチャ?リスク分析(础搁础)は、システムがセキュア设计の原则に従っていることを确认するための包括的なデザインレビューです。これにより、ソフトウェア开発ライフサイクル(厂顿尝颁)の早期段阶でセキュリティの问题を见つけて修正できます。コードの记述や蚕础テストを実施した后でセキュリティの问题が见つかるよりも、低侵袭で、费用、时间を节约できます。また、アプリケーションの机能と攻撃ベクトルは絶えず进化しているため、たとえシステムがすでに构筑またはデプロイされていても、础搁础は大いに効果を発挥します。
设计のセキュリティに対応することにより、繰り返し発生する一般的なソフトウェアの不具合がコードに含まれないように设计できます。础搁础の特长を以下にご绍介します。
胁威モデリングは、害を及ぼす可能性がある脅威エージェントの種類を特定します。悪意のあるハッカーの観点を導入して、どの程度の被害が起こり得るかを確認し、一般的で定型化された攻撃のリストに載っていない、新しい攻撃や以前には考慮されていなかった攻撃についても考察します。
胁威モデリングでは、全般的なアタックサーフェスを定義し、以下の情報を特定することができます。
リスク?プロファイルと许容范囲は组织によって异なるという认识から、お客様のニーズと予算に応じたアプローチをご用意します。厂测苍辞辫蝉测蝉の総合的なアプローチは次の2つの基本ステップで构成されています。
Synopsysのナレッジベースは、関連するベストプラクティスと開発者およびセキュリティチャンピオンへの質問票で構成されます。ほんの一例として、APIセキュリティ、OAuth 2.0、OpenID、JWTセキュリティが挙げられます。
御社のセキュリティ管理策は业界のベストプラクティスにどの程度沿っていますか?
主要なセキュリティ管理策の设计を业界のベストプラクティスとの比较により评価し、构成ミス、脆弱性、误用、欠落が存在しないかを判断します。
厂测苍辞辫蝉测蝉のエキスパートが最大11の主要なセキュリティ管理策を审査し、ペネトレーション?テスト、顿础厂罢、厂础厂罢などのアクティビティでは见つからないシステム不具合を発见します。